RE: Re: Hackerangreb?

From: Jacob Nielsen (none@admin--fameflame.dk.lh.bsd-dk.dk)
Date: Sat 24 Feb 2001 - 20:05:59 CET 

Date: Sat, 24 Feb 2001 20:05:59 +0100 (CET)
To: Flemming Jacobsen <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Subject: RE: Re: Hackerangreb?
From: Jacob Nielsen <none@admin--fameflame.dk.lh.bsd-dk.dk>

Tusind tak for hjælpen. Jeg havde dog luret det med AT kommandoerne, men havde spekulereet lidt i exploits, netop om det var nogle eller ikke. Havde der været, kunne man jo fortolke det som en hacker-angreb.

Nu vil jeg dog fortsætte aftenen med at grine af Mr. @home. :)

Jeg har indtil for nyligt kørt syslogd UDEN nogle form for switches, men har idag sat den op med -s. Jeg vil også inden for en nærm fremtid kompilere IPFW ind i kernelen.

/J

----------------------------------------------------------------------
Sat, 24 Feb 2001 18:01:25 , Flemming Jacobsen

 wrote:

Jacob Nielsen wrote:
> Er dette et hacker angreb (fra messages)->
> Feb 19 22:01:44 cr906208-a.flfrd1.on.wave.home.com + + +ATH0+ + +ATH0+ + +ATH0+ + +ATH0+ + +ATH0+ + +ATH0+ + +ATH0+ + +ATH0+ + +ATH0

Det er nok mere præcist at kalde det et (så vidt jeg kan se)
lamer-agtigt forsøg på chikane.

+++ (uden mellemrum) får et Hayes-kompatibelt modem (dvs. alle
modems købt inden for de sidste 5+ år) til at gå i commandmode,
hvis modemet modtager det via serielporten (dvs. fra din
computer). + kan konfigureres til at være et andet tegn, det
gøres dog uhyre sjældent.
ATH0<cr> får et Hayes-kompatibelt modem til at \"lægge på\" hvis
det er i command mode og modtager strengen via serielporten.
Jeg kan ikke lige se hvordan Mr. @home kan forvente at få dette
til at fungere.

> Og dette ->
> Feb 19 22:29:04 mkc-65-26-84-154.kc.rr.com !@#%!^@)&!^&!*&!%&!%!@#%!^@)&!^&!*&!%&!%!@#%!^@)&!^&!*&!%&!%!@#%!^@)&!^&!*&!%&!%!@#%!^@)&

Nogen sender tilsyneladende binære data til din syslogd.
Der er så vidt jeg ved ingen exploits i *BSDs syslogd. Så enten
er det en lamer der prøver at vælte hvad han tror er en Linux box
(tvivlsomt) eller også logger han bare junk for at fylde din
disk.
Er der en af de \"lurkende\" SSLUGere der kan præcisere her?

> Feb 19 23:00:20 mkc-65-26-84-154.kc.rr.com @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

Det her er ihvertfald for at fylde din disk.

> Eller snakker vi \\\"bare\\\" almidelig flooding?

Det tror jeg.

Jeg mener du kører FreeBSD (hvis ikke, så ignorer resten):
Ret i /etc/rc.conf
  syslogd_flags=\"-s\"
så lytter syslogd ikke på nettet efter meddelelser.
Hvis du bruger
  syslogd_flags=\"-s -s\"
så äbner syslogd slet ikke sin UDP socket (men så kan du ikke
logge til en anden maskine).
På denne måde slipper du for alt dette.

Generelt bør du lige køre \'sockstat\' (eller \'sockstat -4\' i
FreeBSD 4.x) for at se hvad der er åbne porte på din computer, og
så sørge for at alt det du ikke har behov for er lukket.
Overvej også at lave en kerne med IPFW (se i LINT, og tidligere
diskussion her på listen).

        FJ 

-- 
Flemming Jacobsen                                  Email: fj@batmule.dk
   ---===   If speed kills, Windows users may live forever.   ===---

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:05 CET